HTTP 访问控制(CORS)

最新推荐文章于 2024-04-25 11:06:11 发布
最新推荐文章于 2024-04-25 11:06:11 发布
阅读量3.3k 收藏
点赞数
分类专栏: http协议 文章标签: http CORS 跨域 options

  跨域请求:请求不属于自己域(domain)下资源。例如,一个来自http://domain-a.com域下的HTML page请求http://domain-b.com域的图片资源。当今,网站中许多页面从别的域下加载像CSS stylesheets, images and scripts资源。
  出于安全考虑,浏览器会限制跨域脚本执行请求。例如,XMLHttpRequest遵循同源策略(所谓同源是指,域名,协议,端口相同;举个简单例子,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行)。因此,一个网站使用XMLHttpRequest只能请求它自己域下的资源。为了提升web应用,开发者请求浏览器供应商允许XMLHttpRequest做出跨域请求。
  W3C Web Applications Working Group推出了一种新的机制叫Cross-Origin Resource Sharing(跨域资源共享,简写为CORS)。CORS对服务器跨域做了访问控制,使跨域数据能够安全传输。现代浏览器在API容器当中使用CORS,比如,XMLHttpRequest,来降低跨域请求的风险。
  现代浏览器会处理客户端跨域资源共享的请求内容,包括请求头以及策略的执行。添加了新的标准意味着服务器就要处理新的请求头以及返回对应新的响应头。
跨域共享标准可以使以下进行跨站点请求:
1. 向上面讲述的一样,在跨域行为中调用XMLHttpRequest API
2. Web字体,以至于服务器可以部署那些只能被跨域站点加载和那些被允许使用的网站字体
3. WebGL textures
4. Images/video frames drawn to a canvas using drawImage
5. css样式
6. script脚本

概述

  跨域资源共享标准通过增加新的HTTP请求头,允许服务器描述一系列被允许使用浏览器读取信息的请求。除此之外,对于那些可能给用户数据造成负面影响HTTP请求方式,浏览器会对请求进行”预检“,通过OPTIONS请求方式从服务器上拉取被支持的请求方式,那时,得到了服务器的允许,再发送真正的HTTP请求方式。服务器也可以通知客户端是否请求时要带上“证书”。
接下来的部分讨论一些使用场景,以及对HTTP请求头使用分解。

访问控制场景例子

  在这里,我们呈现三个场景以阐述跨域资源共享是怎么工作的。所有的这些例子都是使用XMLHttpRequest对象,它能够被所有支持的浏览器进行跨站点调用。
  这些javascript代码能够执行在支持跨站点的XMLHttpRequest浏览器上。现在从服务器的角度来讨论跨域资源共享。

简单请求

一个简单的跨站点请求需要满足以下条件:

只允许如下请求方式:

  • GET
  • HEAD
  • POST

除了被用户代理自动设置的请求头,下面请求头可以允许手动设置:

  • Accept
  • Accept-Language
  • Content-Language(表示当前页面的语言)
  • Content-Type
 <meta http-equiv="Content-Type" content="text/html;charset=utf-8"> 
 <meta http-equiv="Content-Language" content="zh-CN">

charset和Content-Language的含义就是,当前页面的语言是中文的,请浏览器使用UTF-8编码字符集进行解码显示
1. Content-Type被允许使用的值为:
* application/x-www-form-urlencoded
* multipart/form-data
* text/plain
例如,假设在域http://foo.example下的内容希望调用在域http://bar.other下的内容。那么写在域foo.example中的javascript代码如下:

var invocation = new XMLHttpRequest();
var url = 'http://bar.other/resources/public-data/'; 
function callOtherDomain() {
  if(invocation) {    
    invocation.open('GET', url, true);
    invocation.onreadystatechange = handler;
    invocation.send(); 
  }
}

让我们来看一下发往服务器端的请求内容,以及服务器端的响应内容:

GET /resources/public-data/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Referer: http://foo.example/examples/access-control/simpleXSInvocation.html
Origin: http://foo.example


HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2.0.61 
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

[XML Data]

空白行下面的内容,是服务端响应内容。在响应内容中,服务器返回了Access-Control-Allow-Origin头部。在这个例子中,服务端返回Access-Control-Allow-Origin: *表明任何跨域访问站点都可以访问http://bar.other域下的资源。如果资源的拥有域http://bar.other只希望http://foo.example域访问它的资源那么可以修改成如下:

Access-Control-Allow-Origin: http://foo.example

预检请求

  不像简单的请求,预检请求第一次以OPTIONS方式请求其他域的资源,这样是为了确保真正的请求安全发送。由于跨站点请求可能对用户数据产生影响,因此它需要进行预检。下面列出了一些需要预检请求特点:
- 请求的方式不是GET、HEAD、POST其中之一。还有,如果POST发送数据类型(Content-Type)不是application/x-www-form-urlencoded、multipart/form-data、text/plain,比如POST发送的数据是XML格式,application/xml、text/xml,那时该请求需要预检。
- 设置自定义的请求头部(比如X-PINGOTHER)
下面是例子:

var invocation = new XMLHttpRequest();
var url = 'http://bar.other/resources/post-here/';
var body = '<?xml version="1.0"?><person><name>Arun</name></person>';  
function callOtherDomain(){
  if(invocation)
    {
      invocation.open('POST', url, true);
      invocation.setRequestHeader('X-PINGOTHER', 'pingpong');
      invocation.setRequestHeader('Content-Type', 'application/xml');
      invocation.onreadystatechange = handler;
      invocation.send(body); 
    }
}

例子中,第3行创建了XML内容并且以POST方式进行请求。还有,在第8行自定义了一个请求头(X-PINGOTHER:pingpong)。这样的请求头不是HTTP/1.1一部分,但是普遍的应用在web应用中。由于这个请求使用了POST并且Content-Type值不是上面讲到的三个之一,并且自定义了一个头部,因此这个请求就要进行预检。
让我们看看客户端与服务端完整的请求与响应内容:

OPTIONS /resources/post-here/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Origin: http://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type


HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

POST /resources/post-here/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
X-PINGOTHER: pingpong
Content-Type: text/xml; charset=UTF-8
Referer: http://foo.example/examples/preflightInvocation.html
Content-Length: 55
Origin: http://foo.example
Pragma: no-cache
Cache-Control: no-cache

<?xml version="1.0"?><person><name>Arun</name></person>


HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:40 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://foo.example
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 235
Keep-Alive: timeout=2, max=99
Connection: Keep-Alive
Content-Type: text/plain

[Some GZIP'd payload]

1~12行就是OPTIONS方式进行预检请求。OPTIONS方式是HTTP/1.1的请求方式,是用来进一步确定来自服务端的信息,并且它是一个幂等(在编程中,一个幂等操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同;幂等函数,或幂等方法,是指可以使用相同参数重复执行,并能获得相同结果的函数,GET,HEAD, PUT, DELETE方式都是幂等的)的方法,这意味着它不能改动资源,有两个请求头随着OPTIONS请求发送(第10行和第11行):

Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type

Access-Control-Request-Method就是告知服务器,当我发起真正请求时,请求方式是POST。The Access-Control-Request-Headers通知服务器,当我发起真正请求时,将发送自定义值X-PINGOHER和Content-Type的请求头。现在服务器就可以有机会决定,在这样的环境下它是否希望接受请求。
14~26行服务器端送回的响应表明请求方式POST和请求头X-PINGOTHER可接受。特别看一下17~20行:

Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400

Access-Control-Allow-Methods表明POST、GET、OPTIONS是可以访问资源请求方式;Access-Control-Allow-Headers表明请求时允许使用X-PINGOTHER、Content-Type头部。它们的值之间以逗号隔开。
Access-Control-Max-Age表明经过多久才会进行下一次预检。

认证请求

  最令人感兴趣的是XMLHttpRequest和Access Control能够发送认证请求,认证请求浏览器默认是关闭的。具体认证请求看下面例子:

var invocation = new XMLHttpRequest();
var url = 'http://bar.other/resources/credentialed-content/';

function callOtherDomain(){
  if(invocation) {
    invocation.open('GET', url, true);
    invocation.withCredentials = true;
    invocation.onreadystatechange = handler;
    invocation.send(); 
  }
}

启用认证只需要也就是withCredentials=true。这样浏览器将拒绝任何不带 Access-Control-Allow-Credentials: true头部的响应,具体看下面内容:

GET /resources/access-control-with-credentials/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Referer: http://foo.example/examples/credential.html
Origin: http://foo.example
Cookie: pageAccess=2


HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:34:52 GMT
Server: Apache/2.0.61 (Unix) PHP/4.4.7 mod_ssl/2.0.61 OpenSSL/0.9.7e mod_fastcgi/2.4.2 DAV/2 SVN/1.4.2
X-Powered-By: PHP/5.2.6
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Credentials: true
Cache-Control: no-cache
Pragma: no-cache
Set-Cookie: pageAccess=3; expires=Wed, 31-Dec-2008 01:34:53 GMT
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 106
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain


[text/plain payload]

尽管11行向http://bar.other发送了Cookie,如果bar.other不响应 Access-Control-Allow-Credentials: true头部,这个服务端响应将被客户端拒绝。重要提示:当响应认证请求时,服务端必须指定域,不能使用通配符,例如:Access-Control-Allow-Origin: *。

从这篇文章当中了解到跨域访问很多知识,自己也明朗了许多,写的非常好,于是就翻译出来,如有翻译不当的地方还望见谅!

                                                            -_-没有天才,只有勤奋的天才

被译文地址:https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

黑暗的笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cors-proxy:Servlet代理代理访问,通常需要CORS,而在遗留浏览器存在无法完全实现的问题(例如会话控制)的情况下
05-01
CORS代理 由于跨域问题,Servlet代理涉及跨域资源共享(CORS)的请求。 一些浏览器没有完全实现CORS,这会导致访问资源的问题,这些事件需要发送cookie来标识会话。 该servlet将为真正的服务提供代理。 安装方式 安装包括导出身份验证密钥目标地址证书,在servlet配置属性中配置访问数据,将jar添加到类路径并在应用程序web.xml中对其进行配置。 #### Classpath只需将jar放在Web应用程序的类路径中或使用maven: < dependency> < groupId>org.webedded.cors</ groupId> < artifactId>cors-proxy</ artifactId> < version>1.0.4</ version> </ dependency> 现在在从1.0.4版开始的Cen
WAF技术及应用读书笔记(三)HTTP基础
ai_64的博客
10-03 473
第三章 HTTP校验和访问控制 3.1 HTTP 熟练掌握HTTP知识才能写出各种匹配规则实现访问控制。 3.1.1 HTTP简介 超文本传输协议,用于服务器和客户端打交道,交换信息。 3.1.2 统一资源定位符 表示从互联网取得资源的路径和方法,俗称网址。 <协...
http-server:Node.js下的轻量级静态服务器利器
wujiayu31415的博客
02-23 364
无论你是前端开发者还是后端开发者,都可以尝试使用http-server来简化你的开发工作流程。它基于Node.js构建,无需复杂配置,即可快速启动一个本地HTTP服务器,为开发者提供便捷的开发环境。在使用http-server时,请确保你的项目文件和目录结构是正确的,因为服务器将直接根据这些文件和目录提供服务。默认情况下,http-server会监听8080端口,并在当前目录中查找静态文件。如果你在使用过程中遇到任何问题,可以尝试查看http-server的文档或在相关社区寻求帮助。命令后加上目录路径。
Cross Domain - CORS-crx插件
04-01
语言:English (United States) 交叉域将帮助您处理跨领域 - CORS问题。 当面对跨域问题时,这是有用的工具。 访问网站:https://devratroom.blogspot.com/p/cross-domain-cors-extension.html 交叉域将帮助您处理跨域 - 跨起源资源共享(CORS)问题。 这是一个小型工具将有助于与跨域问题面对的Web开发人员和相关域。 列表: - 允许交叉域 - 在JavaScript Regex上自定义URL模式基础 - 允许启用,禁用 - 非常友好的界面 在引擎盖下: 此扩展允许通过从服务器修改标题响应并添加更多标题以允许CORS请求: 访问控制允许原点 访问控制允许 - 方法 访问控制允许标题 访问控制曝光标题 这仅用于开发目的。
access-control:在您的应用程序中轻松处理HTTP访问控制CORS
05-30
HTTP 访问控制 (CORS) access-control实现了 HTTP 访问控制,根据 W3 规范,它通常被称为 CORS。 代码非常简单,易于理解,因此也很容易做出贡献。 access-control带有一个非常简单的 API,所以它超级简单、超级棒、超级稳定。 您对一个小型构建块模块的所有期望。 安装 npm install --save access-control 用法 必须先配置该模块,然后才能使用它向 HTTP 请求添加正确的 CORS 信息。 这是通过为模块提供选项来完成的。 'use strict' ; var access = require ( 'access-control' ) ; 在需要模块后,您可以为返回的函数提供一个选项对象,该对象可以包含以下属性: 起源 允许访问 URL 的源的数组或逗号分隔列表。 如果未提供此选项,它将默认为*这将允许
允许CORS访问控制 - 允许来源「Allow CORS: Access-Control-Allow-Origin」-crx插件
03-20
轻松地将(Access-Control-Allow-Origin:*)规则添加到响应标题。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行跨域Ajax请求。只需激活插件并执行请求即可。默认情况下,现代浏览器(在JavaScript API中)禁止CORS或跨源资源共享。安装此加载项将使您可以解除阻止此功能。请注意,将插件添加到浏览器后,默认情况下它处于非活动状态(工具栏图标为灰色C字母)。如果要激活附加组件,请按一次工具栏图标。图标将变为橙色的C字母。如果您有功能请求,或者发现了要报告的错误,请在附件的主页(http://mybrowseraddon.com/access-control-allow-origin.html)中填写错误报告表格。 支持语言:English
HTTP协议特性之HTTP访问控制CORS
Science Explorer
08-25 702
当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。
HTTP访问控制CORS
weixin_38097302的博客
08-28 468
CORS(Cross Origin Resource Sharing) 以下内容参考自: MDN web docs 是什么: 使用额外的HTTP头使得运行在一个域上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源与该资源本身所在不同的域、协议或端口请求一个资源时,资源会发起一个跨域HTTP请求 CORS 首部字段 Access-Control-Allow-Origin 指示请求的资源能共享给哪些域。 Access-Control-Allow-Credentials 指示当请求的凭证
HTTP访问控制(CORS)
FY19951211的博客
10-20 2278
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的HTTP请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过<img>标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),...
Http请求之状态码详解
沙耶博士
07-15 1416
发起一个http请求 http是无状态的,必须由客户端发起。 客户端发起请求,然后需要知道请求结果。 请求结果有四种情况,还在进行中、已经成功、到别处看看,发生了错误。 对于错误原因有两种,你的错,我的错。 请求状态码分类 对于上面提到的几种请求结果,用一种三位数值来分别标记。 进行中的,标记为1xx 已经成功的,标记为2xx 资源不在我这的,标记为3xx 你的错误,标...
常见HTTP状态码解析
明华的博客
09-29 777
HTTP状态码是用以表示网页服务HTTP协议响应状态的3位数字代码,所有状态码的第一个数字代表了响应的五种状态之一。 一、消息(1××) 这类状态码代表请求已被接受,需要继续处理。这类响应是临时响应,只包含状态行和某些可选的响应头信息,并以空行结束。由于 HTTP/1.0 协议中没有定义任何 1xx 状态码,所以除非在某些试验条件下,服务器禁止向客户端发送 1xx 响应。 100 :Con...
允许CORS访问控制_-_允许来源「Allow_CORS__Access-Control-Allow-Origin」_0_1_1_0_10_18_38.zip
09-26
允许CORS访问控制_-_允许来源 前端跨域问题 本插件解压之后直接拖到谷歌浏览器扩展程序界面 即可使用
访问控制允许起源:处理React和Express中的CORS错误
04-06
访问控制允许起源:处理React和Express中的CORS错误
CORS跨域请求.docx
06-30
CORS跨域请求 文档
http忽略ssl认证
最新发布
weixin_54505261的博客
04-25 226
httpclient证书忽略以及urlconnection证书忽略
SSL证书在HTTPHTTPS中的角色差异是什么?
SSL加密技术
04-19 399
在安全性方面,HTTP以明文形式传输数据,缺乏任何形式的加密保护,使得用户的敏感信息,如账号、密码等极易遭到截获和滥用。相反,HTTPS通过整合SSL协议对数据进行加密处理,大大提升了数据传输的安全等级,有效防范了数据被恶意监听和篡改的风险,确保了用户数据的私密性和一致性。相较于HTTPHTTPS在保障用户数据安全和隐私保护方面具有明显的优势,特别是在需要处理敏感信息的网络服务中,部署SSL证书不仅能大幅提升数据传输的安全性,也能增强用户对网站的信任度和使用体验。
golang学习笔记(net/http库基本使用)
m0_46198325的博客
04-22 177
我们先看看标准库net/http如何处理一个请求。代码块定义了两个不同的路由,分别是“/”和“/count”,分别绑定 handler 和 counter, 根据不同的HTTP请求会调用不同的处理函数。
TCP/IP协议—HTTP
起风的博客
04-18 1493
超文本传输协议(Hypertext Transfer Protocol,HTTP)是一种请求-响应的协议,用户可以通过HTTP向服务器上传、下载数据。HTTP基于TCP协议,是web应用中最主要的应用层协议,比如浏览器上网就是使用HTTP协议。超文本安全传输协议(Hypertext Transfer Protocol Secure,HTTPS)是加入安全加密的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTP应答报文与HTTP请求报文格式类似,区别在与请求行。
HTTPHTTPS 对比,区别详解(2024-04-25)
hap1994的博客
04-25 868
HTTP 协议是 Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网( WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。HTTP 是一个基于 TCP/IP 通信协议来传递数据(HTML 文件、文本、图片文件、视频文件、查询结果等)。
cors
06-02
CORS,全称为Cross-Origin Resource Sharing,即跨域资源共享。它是一种机制,用于在浏览器和服务器之间,安全地实现跨域的数据传输。 在传统的同源策略下,浏览器限制了网页从不同源加载资源的行为。但是,在某些情况下,我们需要从其他域名的服务器上获取数据,这时就需要使用CORS机制。 CORS机制通过HTTP头部来告诉浏览器,当前域名上的Web应用程序可以访问位于其他域名上的资源。具体来说,服务器在响应请求时,会在HTTP头部中加入Access-Control-Allow-Origin字段,指定可以访问该资源的域名列表,如下所示: ``` Access-Control-Allow-Origin: http://localhost:8080 ``` 上述代码表示,只有来自http://localhost:8080域名的请求可以访问该资源。如果需要允许所有域名的请求访问该资源,可以使用通配符*,如下所示: ``` Access-Control-Allow-Origin: * ``` 除了Access-Control-Allow-Origin字段,CORS机制还可以通过Access-Control-Allow-Methods和Access-Control-Allow-Headers字段来控制允许的请求方法和头部字段,以及Access-Control-Max-Age字段来控制预检请求的有效期。 需要注意的是,CORS机制只能用于浏览器与服务器之间的通信,不适用于其他场景,如服务器与服务器之间的通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值